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<Bestimmungsgeniaaer Bnsprung in den 
Datenverarbeitungsprogramraabschnitt 
2um Loschen und/oder Oberschrelben ? 




@) Verfahren zum Betreiben eines Steuergerates mit einer uber eine Programmier/orricintung programmiss-baren 
Speichereinrichtung 

@ Es wird ein Verfahren zum Betreiban einas Steuergerates 

(10) mit einer uber eine Programmier^orrichtung (20) pro- 

grammierbaren Speichereinrichtung (14) beschrieben, wobei 

das Loschen und dss Oberschrelben des Inhalts der Spei- 
chereinrichtung jeweils untsr Ausfuhrung eines Datenverar- 

bertungsprogrammabschnittes und untar Verwendung von 

Daten durchgefuhrt wird. Das beschriebene Verfahren 

zeichnet sich dadurch aus, daS wenigstans entweder der 

Datenverarbertungsprogrammabschnitt oder die Daten der- 

art bereitgesteltt werden, daS sie vor deran Varwendbarkeit 

zur Herbeifuhrung eines Loschens oder einas Oberschrei- 

bens einer Modifikation bedurfen. und daS diese Modifika- 

tion erst durchgefuhrt wird, wenn festgastellt wird, daB ein 

Einsprung in den Datenverarbeftungsprogrammabschnitt be- 
" stimmungsgemaB erfolgt ist oder erfolgen wird oder erfol- 
f gen Icann. 



S2 



Modifikation des Datenverarfaeltungs- 
programmabschnittes und/oder der Daten 
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Beschreibung 

Die vorliegende Ernndung betrifft ein Verfahren ge- 
maB dem Oberbegriff des Patenianspnichs 1, d. h. ein 
Verfahren zum Betreiben eines Steuergerates mit einer 
uber eine Programniiervorrichtung programmierbaren 
Speichereinrichiung, wobei das Loschen und das Ober- 
schreiben des Inhaits der Speichereinrichtung jeweils 
unier Ausfuhrung eines Datenverarbeitungsprogramm- 
abschnittes und iinter Verwendung von Daten durchge- 
fuhrt wird. 

Ein derartiges Verfahren ist beispielsweise in der 
DE43 32 499 Al offenbart Das in dieser Druckschrift 
beschriebene Steuergerat ist ein Kraftfahrzeugsteuer- 
gerat, dessen moglicher Aufbau und Einbettung in ein 
Gesamtsystem nachfolgend unter Bezugnahme auf 
Fig. 3 naher beschrieben wird. 

Das Kraftfahrzeugsteuergerat ist in der Fig. 3 mit 
dem Bezugszeichen 10 bezeichnet; es enthalt einen Mi- 
krorechner 11 und Ein-/Ausgabeschaltkreise IZ 

Der Mikrorechner 11 umfaBt eine Zentraleinheit 13, 
einen elektrisch losch- und programmierbaren Speicher 
14 in Form eines Flash-EPROM, einen Schreib-ZLese- 
speicher 15, einen Nur-Lese-Speicher 16 und eine seriel- 
le Schmttstelle21. 

Das Krafifahrzeugsteuergerat 10 erhalt uber die Ein- 
/Ausgabeschalikreise 12 Eingangssignale von Sensoren 
wie einem Drosselklappenpotentiometer 17, einem 
Drehzahifuhler 23 und weiteren Sensoren 18. Die weite- 
ren Sensoren, auf weiche bier nicht naher eingegangen 
werden soil, sind je nach Kxaftfahrzeugsteuergerat ein 
Motor-Temperaturfiihler, ein Ansaugluft-Temperatur- 
fuhler, ein Luftmassenmesser, ein Leerlaufschalter usw. 

Das Kxaftfahrzeugsteuergerat 10 gibt andererseits 
uber die Ein-/Ausgabescha3tkreise 12 Ausgangssignale 
an Aktuaioren 19 zur Steuerung von beispielsweise Ein- 
spritzventilen, Zundspulen usw. aus. 

Der genaue Aufbau des Kraftfahrzeugsteuergerates 
10 kann der Druckschrift Bosch — Technische Unter- 
richtung, kombiniertes Zund- und Benzineinspritzsy- 
stem Motronic, Robert Bosch GmbH, 1983 enmommen 
werden und bedarf hier deshalb keiner naheren Erlaute- 
rung. 

Die genannten Speichereinrichtungen 14, 15 und 16 
sind der Zentraleinheit 13 zugeordnet und dienen zur 
Speicherung von Programmen und Daten fur die Zen- 
traleinheii 13. 

Die Verwendung von elektrisch losch- und program- 
mierbaren nichtfluchtigen Speichereinrichtungen wie 
der Speichereinrichtung 14 erweist sich ^bei einem 
Krafifahrzeugsteuergerat als vorteilhaft, weil diese sich 
jederzeit umprogrammieren lassen, was insbesondere 
bei sparer entdeckten Fehlem oder individuellen Kun- 
denwunschen von nicht unerheblicher Bedeutung ist. 

Die Verwendung von Flash-EPROMs als elektrisch 
losch- und programmierbare nichtfiuchtige Speicher- 
einrichtungen gewinnt dabei zunehmend an Bedeutung, 
weil diese die Vorzuge eines "normalen" EPROM (hohe 
Speicherzeliendichte) und eines EEPROM (elektrisches 
und damit eim'aches und bequemes Loschen des Spei- 
cherinhalts) in sich vereinen. 

Zur anfanglichen Programmierang der Flash- 
EPROMs (vorzugsweise in Abhangigkeit vom Kraft- 
fahrzeug-TjTD im Kraftfahrzeug-Herstellungsbetrieb) 
Oder zur spateren Umprogrammierung derselben (beim 
Kundendienst zur Fehierbeseiiigung oder entsprechend 
individuellen Kundenwunschen) wird ein extemes Pro- 
grammiergerat 20, beispielsweise in Form eines Perso- 



23 145 ■ A 




nal Computer an das Steuergerat 10 angeschlossen. 

Der AnschluB erfolgt beispielsweise uber eine serielle 
Schnittstellenleitimg 22 und die bereits erwahnte seriel- 
le Schnittstel]e21. 
5 Durch das exteme Programmiergerat 20 ist das Steu- 
ergerat 10 bei Bedarf zur Ausfuhrung von Datenverar- 
beitungsprogrammabschnitten rum Loschen bzw. 
Uberschreiben von Daten im Flash-EPROM veranJaB- 
bar, wobei gegebenenfalls auch die (neu) einzuspei- 

10 chemden Daten zur Verfugung gestellt werden. 

Das Steuergerat 10 selbst kann die Ausfuhrung der 
genannten Datenverarbeitungsprogrammabschnitxe im 
Normaifall nicht von sich aus, also nicht ohne extemen 
AnstoB veranlassen. Dii., in den wahrend des Fahrbe- 

15 triebes im Steuergerat ausgefiihrten oder auszufuhren- 
den Anwenderprogrammen ist kein Einsprung in die 
genannten Datenverarbeitungsprogrammabschnitte 
vorgesehen. Der Grund fur diese MaBnahme liegt unter 
anderem darin, daB ein unbeabsichtigtes oder ein unbe- 

20 fugtes Loschen und/oder Uberschreiben des Flash- 
EPROM verhinden werden solL 

Eine weitere MaBnahme zum Schutz vor unbeabsich- 
tigten Speicherinhaltsveranderungen und vor Manipj- 
iationen durch hierzu nicht Berechtigte besteht dark, 

25 daB dem eigentlichen Loschen und/oder Uberschreiben 
von Inhalten des^ Flash-EPROM eine Berechtigungs- 
kontrolle (durch Oberpriifen eines eingegebenen PaB- 
wortes oder dergleichen) vorausgeht. 

Durch die genannten Schutzvorkehrungen sind ein 

30 unbeabsichiigies oder unbefugtes Loschen und/oder 
Oberschreiben des Flash-EPROM weiiestgehend ver- 
hinderbar. Alierdings ist es bei einer unglucklichen Ver- 
kettung gewisser Umstande nicht vollstandig aus- 
schlieBbar, daB diese SchutzmaBnahmen vereinzeit 

35 nicht wirksam sind. 

Veranrwonlich hierfiir sind vor allem EMV-Einsirah- 
lungen ins Steuergerat, aber auch geziehe Manipulatio- 
nen des AdreBzeigers oder des AdreBbusses durch un- 
befugte Driue. 

40 Die Foige hiervon ist, daB — obgleich dies nicht vor- 
gesehen ist — unter ungunstigen Bedingungen zumin- 
dest theoretisch auch ohne bestimmungsgemaBe Veran- 
lassung durch das Programmiergerat ein Einsprung in 
einen Datenverarbeitungsprogrammabschnitt erfolge^ 

45 kann, durch dessen Ausfuhrung im Flash-EPROM 
Steuergerates gespeicherte Daten geloscht und/oder 
uberschrieben werden konnen. 

Sofem ein Einsprung an den Anfang einer derardgen 
Routine erfolgt, kajin ein drohender Schaden durch Ab- 

50 frage eines PaBwortes oder dergleichen und gegebe- 
nenfalls Veriassen der Routine abgewendet werden. 
Falls der Einsprung jedoch an eine Stelle weiter hinten 
im Programm erfolgt, ist dieser Schutzmechanismus un- 
wirksam, so daB ein nicht bestimmungsgemaBes Lo- 

55 schen und/oder Oberschreiben von in einer program- 
mierbaren Speichereinrichtung gespeicherten Daten 
hierdurch nicht zuverlassig ausgeschlossen werden 
kann. 

Zur Abhilfe hiergegen sind an den Flash-EPROMs 
60 zum Teil Programmierspannungseingange vorgesehen, 
an weiche eine vorbestimmte Programmierspannung 
anzulegen ist, wenn ein L5schen oder Beschreiben der 
Speichereinrichtung durchgefuhrt werden soil. Ein der- 
aniger Schutzmechanismus erfordert jedoch einen zu- 
65 satzlichen Hardwareaufwand, der aufgrund der Tatsa- 
che, daB die vorbestimmte Programmierspannung rela- 
tiv genau eingehalten werden muB, nicht unerheblich's 
AusmaSe annehmen kann, was seinerseits wiedeimn 
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auch negative Auswirkungen auf die Zuverlassigkeit 
bzw. Fehleranfalligkeit des Schutzmechanismus selbst 
haben kann. 

Der vorliegenden Erfindung liegt daher die Aufgabe 
zugrunde, das Verfahren gemaB dem Oberbegriff des 5 
Patentanspruchs 1 derart weiterzubDden, daB ein nicht 
bestimmungsgemaBes Loschen und/oder Oberschrei- 
ben von in einer programmierbaren Speichereinrich- 
tung gespeicherten Daten auf einfache Weise zuverlas- 
sig ausschlieBbar ist 10 

Diese Aufgabe wird erfindungsgemaB durch die im 
kennzeichnenden Teil des Patentanspruchs 1 bean- 
spruchten Merkmale gelosL „ 

Demnach ist vorgesehen, daB wenigstens entweder 
der Datenverarbeitungsprogrammabschnitt oder die 15 
(vom Datenverarbeitungsprogrammabschnitt verwen- 
deten) Daten derart bereitgestellt werden, daB sie vor 
deren Verwendbarkeit zur Herbeifuhning eines Lo- 
schens oder eines Oberschreibens einer Modifikation 
bedurfen, und daB diese Modifikation erst durchgefiihrt 20 
wird, wenn festgestellt wird, daB ein Einspning in den 
Datenverarbeitungsprogrammabschnitt bestimmungs- 
gemaB erfolgt ist oder erfolgen wird oder erfolgen kann^ 

Ein Einspning in einen Datenverarbeitungspro- 
grammabschnitt zum Loschen und/oder Oberschreiben 25 
des Inhalts der progranunierbaren Speichervorrichtung 
kann mithin nur dann zu einem Loschen und/oder Ober- 
schreiben fuhren. wenn aufgrund der Begleitumstande 
zumindest mit hoher Wahrscheinlichkeit davon ausge- 
gangen werden kann oder konnte, daB die Losch- und/ 30 
oder Oberschreibroutine nicht versehentlich oder miB- 
brauchiich aufgeruf en wurde. wird oder werden wird _^ 

Die Durchfiihrung einer derartigen Oberpnifung und 
der in Abhangigkeit hiervon erforderlichen Code- und/ 
oder Datenmodifikation ist relauv einfach durchfiihrbar. 35 
Bei geeigneter Auswahl der Umstande, anhand derer 
festgestellt wird, ob ein Einspning in den Datenverar- 
beitungsprogrammabschnitt bestimmungsgemaB er- 
folgt ist oder erfolgen wird oder erfolgen kann (bei- 
spielsweise bei einer Entscheidung in Abhangigkeit da- 40 
von. ob ein extemes Programmiergerat oder derglei- 
chen angeschlossen und/oder aktiviert ist), ist der erfin- 
dungsgemaBe Schutzmechanismus auch auBerst zuver- 
lassig, also kaum zu umgehen. — " 

Es wurde mithin ein Verfahren geschaffen, durch wel- 45 
ches ein nicht bestimmungsgemaBes Loschen und/oder 
tjberschreiben von in einer programmierbaren Spei- 
chereinrichtung gespeicherten Daten auf einfache Wei- 
se zuverlassig ausschlieBbar ist. ^ 

Der AusschluB des nicht bestimmungsgemaBen L6- 50 
schens sichert nicht nur die gespeicherten Daten vor 
einer ungewoliten oder unbefugten Veranderung, son- 
dem iragt auch erheblich zur Betriebssicherheit des 
Steuergerates bei, denn ein Sprung aus einem wahrend 
des Fahrbetriebs ausgefuhrten Anwenderprogramm in 
einen Datenverarbeitungsprogrammabschnitt zum Lo- 
schen und/oder Oberschreiben des Flash-EPROM 
konnte insbesondere bei einem zu diesem Zeitpunkt 
fahrenden Kxaftfahrzeug erhebliche Sicherheitsrisiken 
mit sich bringen. SO 

Vorteilhafte Weiterbildtmgen der Ernndung sind Ge- 
genstand der Unteranspruche. 

_ Die Erfinduiig wird nachfolgend anhand eines Aus- 
fiihrungsbeispiels naher erlautert. Es zeigen 

Fig. 1 einen prinzipiellen Abiaufplan des enindungs- es 
gemaBen Verfahrensabschnittes, 

ng.2A bis 2D Ablaufplane, die ein bestimmungsge- 
ciiBes Loschen eines Rash-EPROM veranschaulichen. 



und 

Fig. 3 eine Anordnung, die ein vor einem nicht be- 
stimmungsgemaBen Loschen und/oder Oberschreiben 
zu schutzendes Flash-EPROM enthalL 

Die nachstehenden Erlauteningen beziehen sich auf 
ein Verfaiiren zum Betreiben eines Steuergerates zur 
Steuerung beispielsweise des Motors, des Getriebes der 
Bremsen etc eines Kraftfahrzeuges, also eines Kraft- 
fahrzeugsteuergerates. 

Das betrachtete Kraftfahrzeugsteuergerat enthalt 
programmierbare Speichereinrichtungen, genauer ge- 
sagt elektrisch losch- und programmierbare (nichtfliich- 
tige) Speichereinrichtungen in Form von Flash- 
EPROMs. Die Programmierung dieser Flash-EPROMs 
erfolgt uber ein extemes Programrniergerat, das bei- 
spielsweise uber eine serielle Schnittsteile mit dem 
Kraft fahrzeugsteuergerat verbindbar ist. 

Eine mogliche Ausfuhrungsform einer ein derartiges 
Kraftfahrzeugsteuergerat enthaltenden Anordnung ist 
die in der Fig. 3 gezeigte Anordnung, auf deren ein- 
gangs bereits erfolgte ausfuhrliche Beschreibung hier- 
mit ausdriicklich Bezug genommen wird. 

Die vorliegende Erfindung ist jedoch nicht auf die 
Programmienmg von Flash-EPROMs in Kraftfahrzeug- 
steuergeraten imter Verwendung eines extemen Pro- 
grammiergerates beschrankt. Sie ist vielmehr uberall 
dort anwendbar, wo es ganz allgemein darum geht, eine 
Speichereinrichtung eines Steuergerates durch eine 
Programmiervorrichiung zu programmieren. 

Das Programmieren, genauer gesagt das Loschen und 
das Oberschreiben des Inhalts des Flash-EPROMs wird 
jeweils unter Ausf uhrung eines Datenverarbeitungspro- 
grammabschnittes im Steuergerafund unter Verwen- 
dung von (fur die ordnungsgemaBe Ausfiihning des Da- 
tenverarbeitungsprogrammabschnittes benotigten) Da- 
ten durchgefuhrt. 

Die jeweiligen Datenverarbeitungsprogrammab- 
schnitte sind gemaB einem ersten Aspekt der Erfmdung 
jedoch nicht einfach durch einen Aufruf oder einen Ein- 
spning in dieselben aus fiihrbar, sondem liegen voneii- 
hafter Weise zunachst in einer Form vor, in der ein 
Loschen und/oder ein Oberschreiben von Daten im 
Flash-EPROM noch nicht bewerkstelligbar ist 

Diese Nicht- Ausf iihrbarkeit kann auf verschiedenste 
Art und Weise erreicht werden. 

'Eine der Moglichkeiten hierfur besteht darin, daB der 
die jeweiligen Datenverarbeitungsprogrammabschnitte 
reprasenderende Code zumindest teiiweise deran ver- 
schliisselt oder in sonstiger Weise manipulien ist, daB er 
ohne eine entsprechende Modifikation ein zumindest 
nicht vollstandig und/oder nicht ordnungsgemaB aus- 
fiihrbares Programm darstellt. — 

Eine weitere Moglichkeit besteht daxin, daB in den 
Code an strategisch gunstigen Stellen Befehle eingebaut 
sind, durch die die Ausfuhrung von Befehlen, welche 
letztiich das Loschen und/oder Oberschreiben von Da- 
ten im Flash-EPROM bewirken solien, unterbunden 
wird- Dies konnen beispielsweise Sprunganweisungen 
sein, die ein Verlassen des betreffenden Datenverarbei- 
tungsprogrammabschnittes oder ein Oberspringen der 
kritischen Anweisungen bewirken, und die vor einer 
ordnungsgemaBen Pro grammausf uhrung durch eine 
entsprechende Modifikation des Programmcodes zu 
entfemen oder wenigstens unwirksam zu machen sind. 

GemaB einem zweiten Aspekt der Erfindung konnen 
altemativ oder zusatzlich hierzu Daten, von deren In- 
halt das Loschen und/oder Oberschreiben des Inhalts 
des Flash-EPROMs abhangig machbar ist, auf (nicht 
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plausible) Werte gesem sein, die das Loschen und/oder 
Uberschreiben des Flash-EPROM verhindern. 

Bei den genannten Daten kann es sich beispielsweise 
um diejenigen Daten und Adressenwerte handeln, die 
zumindesi bei einigen Flash- EPROMs vor dem eigentli- 
chen Loschen und/oder Oberschreiben in Form soge- 
nannter Entriegeiungszyklen (unlock cycles) uber den 
Bus zum Flash-EPROM gegeben warden miissen. Wah- 
rend der besagten unlock cycles mussen bestimmte Da- 
ten in einer bestimmren Reihenfolge an bestinunte 
Adressen des Flash-EPROM geschrieben warden, um 
das Flash-EPROM zum Zwecke des Datenloschens 
und/oder -uberschreibens aufzusperren bzw. 2u antrie- 
geln. Scheitert der Versuch, das Flash-EPROM zu ent- 
riegeln, so blaibt es fiir ein Loschen und/oder Uber- 
schreiben gesperrt. 

Sorgt man nun dafiir, daB durch die in den unlock 
cycles ausgegebenen Adressen und Daten nicht auto- 
matisch, sondem nur iinter ganz bestimmten Umstan- 
den, namlich nur bei bestinunungsgemaB veranlaBtem 
Loschen und/oder Oberschreiben des Flash-EPROM ei- 
ne Entriegelung des Flash-EPROM bewirkbar ist, so 
steht ein weiterer Schutzmechanismus zur Verfugung, 
durch welchen ein nicht bestimmungsgemaSes Loschen 
und/oder Uberschreiben des Flash-EPROM verhinder- 
bar isL 

Zur Vermeidung der automatischen Entriegelbarkeit 
des Flash-EPROM kann vorgesehen werden, daB der 
D atenverarbeitungsprogrammabschnitt die wahrend 
der unlock cycles zum Flash-EPROM auszugebenden 
Daten und/oder Adressen nicht wie bisher ublich im 
Programmcode integriert hat, sondem aus einem vor- 
zugsweise fliichtigen Speicher (RAM) holen muB, wobei 
der Speicherbereich (die Variablentabelle), aus dem sich 
di^e^ j^sffigigja.^aieme.Ka^i^^ 

die Daten und/oder Adressen zur Ausgabe der unlock 
cycles holen, nicht automansch mix Werten beschrieben 
ist, deren Verwendung das Flash-EPROM entriegelt. 

In einer praktischen R.ealisierung dieses Schutzme- 
chanismus kann vorgesehen werden, die eine Entriege- 
lung des Flash-EPROM ermoglichenden Daten erst 
dann in die genannte Variablentabelle einzuschreiben, 
wenn feststeht, daB eine bestinunungsgemaB zusiande 
gekommene (beispielsweise durch das Programmierge- 
rat veranlaBte) Anforderung zum Loschen oder uber- 
schreiben des Flash-EPROM voriiegt oder folgen wird 
Oder folgen kann, und daB die genannten Daten in der 
Variablentabelle unmittelbar nach dem Losch- bzw. 
Uberschreibvorgang im Flash-EPROM wieder geloscht 
oder durch eine Entriegelung des Flash-EPROM aus- 
schlieBende Daten ersetzt werden. Ein Loschen der Da- 
ten in der Variablentabelle bzw. ein uberschreiben der- 
selben durch eine Entriegelung des Flash-EPROM aus- 
schlieBende Daten ist imter anderem auch nach dem 
Einschalten oder nach einem Rucksetzen des Steuerge- 
rates angezsigx, um eine zufallige Entriegelbarkeit des 
Flash-EPROM zuverlassig verhindern zu konnen. 

Bei Vorsehen von Schutzmechanismen gemaB dem 
ersten und/oder zweiten Aspekt der vorliegenden Erfm- 
dung, d. h- bei Vorsehen von die ordnungsgemaBe Aus- 
fuhrbarkeit der jeweiligen Datenverarbeitungspro- 
grammabschnitte zum Loschen und/oder Uberschrei- 
ben des Flash-EFROM EinfiuB nehmenden Schutzme- 
chanismen hat ein Einsprung in die entsprechenden Da- 
tenverarbeitungsprogrammabschnitte nicht automa- 
tisch ein Loschen und/oder Uberschreiben von Daten 
im Flash-EPROM zur Folge. Vielmehr ist auf diese Wei- 
ss ein Loschen und/oder Oberschreiben von Daten im 



Flash-EPROM grundsatziich zunachst einmal ausge- 
schlossen. 

Falls ein bestimmungsgemaBes Loschen und/oder 
Oberschreiben von Daten im Flash-EPROM durchge- 
5 fuhrt werden soli, bedarf es, wie bereits angedeutet wur- 
de, einer Modifikation des jeweiligen Daten verarbei- 
tungsprogrammabschnittes und/oder der die Daten fur 
die unlock cycles enthaltenden Variablentabelle im 
Steuergerat 

1 0 Dieser Vorgang ist in der Hg. 1 veranschaulicht 

GemaB der Darstellung in der Fig. 1 wird in einem 
ersten Schritt SI zunachst iiberpriift, ob ein Einsprung 
in einen Datenverarbeiiungsprogrammabschnitt zum 
Loschen und/oder Oberschreiben von Daten eines 

15 Flash-EPROM bestimmungsgemaB, d. h. zumindest 
nicht offensichtlich versehentlich oder miBbrauchlich 
eriolgt ist, erfolgen wird oder erfolgen kann. Die Ober- 
priifung konzantriert sich dabei vorzugswaise auf solche 
Kriterien, deren Vorliegen allein oder in Kombination 

20 mit anderan Bedingungen das Einleiten einer Program- 
mierung des Flash-EPROM nicht nur mdglich erschei- 
nen lassen (nicht ausschlieBen), sondem aus denen sich 
auch mit einer gewissen Zuverlassigkeit folgem laBt, 
daB die Programmierung des Flash-EPROM tatsacf h 

25 eingalaitet bzw. veraniaBt wurde oder werden wird. ' 

Fiir den Fall, daB zur Programmierung des Flash- 
EPROM wie im vorliegenden Ausfuhrungsbeispiel ein 
extemes Programmier- oder Testgerat an das Steuerge- 
rat angeschlossen werden muB, kann im Feststellungs- 

30 schritt SI unter anderem beispielsweise uberpruft wer- 
den, 

— ob ein enisprechendes extemes Programmier- 
gerat angeschlossen ist, und/oder 

35 ^ J^i)uda^Sl«El;og^^^ 
tet) ist, und/oder 

— ob sich das Programmiergerat in einer Program- 
mierbetriebsart befindet, und/oder 

— ob eine bestimmungsgemaBe Kommunikation 
40 zwischen Steuergerat und Programmiergerat statt- 

findet oder stattgefunden hat. 

Die Durchfuhrung einer oder mehrerer der genann- 
ten oder ahnlicher Uberprufungen ermoglicht eine sehr 

45 sichere Aussage daruber, ob ein Einsprung in die^ 
granmiierroutine zum Programmieren des Flash- 
EPROM bestimmungsgemaB veranlaSt wurde oder ver- 
aniaBt werden wird. 

Die in diesem Zusammenhang im einzeinen durchzu- 

50 fuhrenden Oberprufungen hangen von den jeweiligen 
individuellen Gegebenheiten ab. Denkbar waren in die- 
sem Zusammenhang insbesondere (aber nicht aus- 
schiieSlich) Abfragen von entsprechenden Statusinfor- 
mationen des Steuergerates und gegebenenfalis von 

55 daran angeschlossen en axteraen Geraten und/oder die 
Abfrage von Kennungen, die bei Eintreten gewisser Er- 
aignisse gesetzt werden. 

Wird bei der Oberprufung in Schritt SI festgesteilt, 
daB ein bestimmungsgemaBer Einsprung in den Daten- 

60 verarbeitungsabschnitt zum Loschen und/oder O^ber- 
schreiben des Flash-EPROM momentan und/oder in ab- 
sehbarer Zeit danach nicht voriiegt oder nicht vorliegen 
kann, wird der in der Fig. 1 gezeigte Programmab- 
schnitt unter Auslassung des nachfolgend noch naber 

65 beschriebenen Schrittes S2 verlassen. Das Auslassen des 
Schrittes S2 bewirkt, daB ein gegebenenfalis eriolgter 
oder erfolgender Einsprung in elnen Datenverarbe:- 
tungsprogrammabschinitt zum Loschen und/oder Uber- 
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schreiben eines Fiash-EPKOM kein Loschen und/oder 
Oberschreiben desselben zur Folge haben kaun. 

Falls in ScHritt SI dagegen festgestellt wird, daB ein 
bestimmungsgemaBer Einsprung momentan und/oder 
in absehbarer Zeit danach vorliegt oder vorliegen kann, 
wird in Schritt S2 die vorstehend bereits erwahnte Mo- 
difikauon des jeweiligen Datenverarbeitungspro- 
grammabschnittes und/oder der von diesem benotigten 
Daten durchgefuhrt, wodurch diese in einen Zustand 
ubergefuhrt warden, der einen bestimmungsgemaBen 
Programmablauf, d. h. ein ordnungsgemaBes Loschen 
und Oberschreiben von Daten des Flash-EPROM er- 
moglicht. 

Die zur genannten Modifikation im einzelnen vorzu- 
nehmenden MaBnahmen hangen davon ab, auf welche 
Weise der jeweiiige Daten verarbeitungsprogrammab- 
schnitt und/oder die Daten manipulien wurden oder 
weswegen sie in der zum jeweiligen Zeitpunkt vorlie- 
genden Form nicht brauchbar sind 

Unabhangig von der Art und dem Umfang der im 
Schritt S2 vorzunehmenden Modinkation karm vorge- 
sehen werden, die Ausfuhrung der Modifikation zusatz- 
lich von der Eingabe eines PaBwortes oder dergieichen 
abhangig zu machen. 

Mit der Durchfuhrung des Schrittes S2 .ist der be- 
trachtete, in der Fig. 1 veranschaulichte Programmaus- 
schnitt abgearbeitet und wird verlassen. Das Ausfiihren 
des Schrittes S2 bewirkt, daB ein gegebenenfalis erfolg- 
ter oder spater noch erfolgender Einsprung in einen 
Datenverarbeitungsprogrammabschnitt zum Loschen 
und/oder Oberschreiben eines Flash-EPROM tatsach- 
lich ein Loschen und/oder Oberschreiben desselben zur 
Folge haben kann. 

Um sicherzustellen, daB das Loschen und/oder Ober- 
schreiben von Daten in einera Flash-EPROM bei be- 
stimmungsgemaBem Einsprung in den entsprechenden 
Datenverarbeitungsprogrammabschnitt tatsachiich 
auch ausgefuhn wird, muB gewahrleistet werden, daB 
eine-gegebenenfalls enorderiiche Modifikation entspre- 
chend Schritt S2 des in der Fig. 1 gezeigten Programm- 
ausschnittes rechtzeitig vor Beginn der Ausfuhrung des 
betreffenden Datenverarbeitungsprogrammabschnittes 
oder vor dem Zugriff auf die dann benotigten Daten 
ausgefiihrt wird. 

Altemauv oder zusatzlich kann der in der Fig. 1 ge- 
zeigte Verfahrensabschnitt beispielsweise auch automa- 
usch wiederholt in mehr oder weniger regelmaBigen 
kurzen Zeitabstanden oder gezielt auf das Auftreten 
gewisser Ereignisse hin ausgefuhrt werden. 

Eine mehrfache oder wiederholte Ausfuhrung des in 
der Fig. 1 gezeigten Verf ahrensabschnittes hat den Vor- 
teil, daB eine gegebenenfalis bereits vorgenonmiene 
Modifikation (Schritt S2) bei zwischenzeitlich verander- 
ten Bedingungen wieder riickgangig bzw. unwirksam 
gemacht werden kann. 

Zur Erhohung der Sicherheit des Schutzmechanismus 
kann vorgesehen werden, daB die Durchfuhrung der 
Modifikation (Schritt S2) zusatzlich davon abhangig ge- 
macht v^^d, daB diese zuvor vom extemen Program- 
miergerat veranlaBi oder wenigstens erlaubt wurde. 

Unabhangig davon muB vorzugsweise unmittelbar 
nach vollenderer Ausfuhrung des Loschens imd/oder 
OlDerschreibens des Flash-EPROM die in Schritt S2 ver- 
ge nommene* Modifikation ebenfalls wieder riickgangig 
bzw. unwirksam gemacht werden. Daruber hinaus ist 
bei Bedarf auch nach dem Einschalten. Rucksetzen und 
<^ergleichen des Steuergerates dafiir zu sorgen, daB don 
kein ordnungsgemaB ausfuhrbarer Datenverarbei- 
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tungsprogranunabschnin bzw. eine ordnungsgemaBe 
Ausfuhrbarkeit gestattende Daten in der Variablenta- 
belle vorhanden sind. 
AbschlieBend werden nun unter Bezugnahme auf die 
5 Fig. 2A bis 2D die Vorgange bei einem besnmmimgsge- 
mi!B veraniaBten Loschen eines Flash-EPROM einge- 
hend beschrieben. Es wird dabei nach wie vor von einem 
wie in der Fig. 3 gezeigten Aufbau ausgegangen. 

Fig. 2A veranschaulicht die Akuvitaten des an das 
10 Steuergerat 10 angeschlossenen Programmiergerates 
20. 

Das Programmiergerat aktivien irgendwann nach 
dem Einschalten selbstandig oder auf exteme Veranlas- 
sung hin ein Protokoll (Schritt SIO), um mit dem Steuer- 

15 gerat auf eine festgelegte Art und Weise kommunizie- 
ren zu kormen. 

Es sei angenommen, daB ein ordnungsgemaBes Lo- 
schen und/oder Oberschreiben des Flash-EPROM des 
Steuergerates einer vorhergehenden Modifizierung der 

20 in der Variablentabelle bereitgestellten bzw. bereitzu- 
stellenden Daten und Adressen fur die unlock cycles 
bedarf. 

Dementsprechend veranlaBt das Programmiergerat 
vor der Ausgabe des Loschbefehls an das Steuergerat 

25 das Einschreiben plausibler, d. h. eine Entriegelung des 
Flash-EPROM ermoglichender AdreB- und Datenwerte 
in die RAM- Variablentabelle des Steuergerates, d. h. in 
die im RAM des Steuergerates untergebrachte Varia- 
blentabelle (Schritt S 11 ). 

30 Das Einschreiben dieser — gegebenenfalis vom Pro- 
grammiergerat bereitgestellten — Werte in die RAM- 
Variablentabelle wird, wie spater unter Bezugnahme 
auf Fig. 2B noch genauer beschrieben werden wird, vom 
Steuergerat selbst durchgefuhrt; der Schritt Sll ist des- 

35 halb "nur" der AnstoB des Modifikationsschrittes S2 in 

Fig. 1. ' 

Danach, d, h. in Schritt SI 2 gemaB Fig. 2 A wird durch 
das Programmiergerat das Loschen des Flash-EPROM 
des Steuergerates veranlaBt. 

40 Auch das Loschen wird, wie spater unter Bezugnah- 
me auf Fig. 2C noch genauer beschrieben werden wird, 
vom Steuergerat selbst durchgefuhn; der Schritt S12 ist 
lediglich der bestimmungsgemaBe AnstoB hierzu. 

Das Programm des Programmiergerates ist mit 

45 Schritt S12 noch nicht beendet Die im AnschluB daran 
durchgefuhrten Operationen sind vorliegend jedoch 
nicht von Interesse. 

Es wird nun unter Bezugnahme auf die Fig. 2B die 
durch Schritt Sll angestoBene Modifikation der AdreB- 

50 und Datenwerte fur die unlock cycles in der RAM-Va- 
riablentabelle durch das Steuergerat beschrieben. 

Auf die exteme Veraniassung durch das Program- 
miergerat zur Vorbereitimg bzw. Herstellung der Be- 
reitschaft des Steuergerates zum Loschen und/oder 

55 Oberschreiben des Flash-EPROM (Schritt Sll) wird irn 
Steuergerat in Schritt S20 zunachst uberpruft, ob uber- 
haupt ein Programmiergerat angeschlossen ist und ob 
ein Kommunikationsprotokoll aktivien wurde. Auf die- 
se Weise wird festgestellt, ob die exteme Veraniassung, 

60 die nur durch eine hierfiir vorgesehene Vorrichtung, 
also ein Programmiergerat oder dergieichen erfolgen 
darf, tatsachiich auch von einer solchen Vorrichtimg 
ausgeht oder wenigstens ausgehen kann, oder ob di^ 
vermeintliche exteme Veraniassung und damit auch ei- 

65 ne gegebenenfaDs bereits erfolgte oder noch foigende 
Veraniassung des L5schens des Flash-EPROM etwa auf 
eine Storung oder einem unbefugten Eingriff zuriickge- 
hen. 
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Wird in Schritt S20 festgestellt, daB kein Program- 
miergerat angeschlossen ist und/oder kein Kommunika- 
tionsprotokoD aktiviert ist, wird der in Rf. 2B gezeigte 
Yerfahrensabschnitt verlassen, ohne ein tJberschreiben 
der RAM-Variablentabelle durchzufuhreru 

Andemfalls, d. L wenn ein Programmiergerat ange- 
schlossen und ein Kommunikationsprotokoll aktivien 
ist, also ein bestinunungsgemaB veranlaBtes Ldschen 
und/oder Uberschreiben des Flash-EPROM zu erwar- 
ten ist, schreitet der Ablauf zu Schritt S21, wo unmittel- 
bar vor dem tJberschreiben der RAM-VariablentabeUe 
sicherheitshalber uberpriift wird, ob die Adresse an wel- 
che die fur die RAM-Variabientabelle bestimmten 
Adressen- und Datenwerte geschrieben werden soUen, 
innerhalb der RAM-Variablentabelle liegt. 

Wird in Schritt S21 festgestellt, daB die Schreibadres- 
se auBerhalb der RAM-VariablentabeUe liegt, wird der 
in Fig. 2B gezeigte Verfahrensabschnitt verlassen, ohne 
ein Uberschreiben der RAM-Variablentabelle durchzu- 
fuhren. 

Andemfalls, d. h. wenn die Schreibadresse innerhalb 
der RAM-Variablentabelle liegt, schreitet der Ablauf zu 
Schritt S22, wo das Einschreiben der AdreB- und Daten- 
werte in die RAM-Variablentabelle erfolgt. Der in der 
Hg. 2B gezeigte Verfahrensabschnitt ist .damit ord- 
nungsgemaB beendet, und das Steuergerat ist auf ein 
Loschen und/oder Oberschreiben des Flash-EPROM 
vorbereitet 

Es wird nun unter Bezugnahme auf die Fig. 2C das 
durch Schritt S12 angestoBene Loschen des Flash- 
EPROM durch das Steuergerat beschrieben. 

Auf die exteme Veranlassung durch das Program- 
miergerat zum Loschen und/oder uberschreiben des 
Rash-EPROM durch das Steuergerat (Schritt SI 2) uird 
im Steuergerat in Schritt S30 zunachst uberpriift, ob 
uberhaupt ein Programmiergerat angeschlossen ist und 
ob ein KommunikationsprotokoD aktivien wurde. Auf 
diese Weise wird — ahnlich wie bei Schritt S_20 in 
Rg, 2B festgestellt, ob die exteme Veranlassung, die nur 
durch eine hierfur vorgesehene Vorrichtung, also ein 
Programmiergerat oder dergleichen erfolgen darf, tat- 
sachlich auch von einer solchen Vorrichtung ausgeht 
oder wenigstens ausgehen kann, oder ob die vermeintii- 
che exteme Veranlassung etwa auf eine Stoning oder 
einem unbefugten Eingriff zuruckgeht. 

Wird in Schritt S20 festgestellt, daB kein Program- 
miergerat angeschlossen ist und/oder kein Kommunika- 
tionsprotokoll aktiviert ist, wird der in Fig. 2C gezeigte 
Verfahrensabschnitt verlassen, ohne ein Ldschen des 
Flash-EPROM durchzufuhren. 

Andemfalls, d h. wenn ein Programmiergerat ange- 
schlossen und ein Kommimikationsprotokoll aknvien 
ist, schreitet der Ablauf zu Schritt S31, wo das Loschen 
des Flash-EPROM erfolgt. 

Nach Beendigung des Loschvorganges, also in Schritt 
S32 gemaB Fig. 2C wird die RAM-VariablentabeOe zer- 
stort, d. h. mit Wenen versehen, die eine Entriegelung 
des Flash-EPROM durch die unlock cycles ausschlieBen. 

Der in der Fig. 2C gezeigte Veriahrensabschnitt, d. h. 
das Loschen des Flash-EPROM ist durch das emeute 
Sichem des Steuergerates gegen_ ein nicht bestim- 
mungsgemaBes Loschen und/oder Uberschreiben ord- 
nunssgemaB beendeL 

Ehie wie in Schritt S32 eriolgende Zerstorung der 
R.AM-Variablentabelle, muB, wie bereits angesprochen, 
auch nach dem Einschalten, dem Rucksetzen und der- 
gleichen des Steuergerates durchgefuhrt werden, um zu 
verhindem, daB die zu diesem Zeitpunkt in der RAM- 
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Variablentabelle stehenden Werte zufallig eine Entrie- 
gelung des Flash-EPROM ermoglichen. Ein derartiger 
Vorgang ist in der ohne weitere Erlauterungen ver- 
standlichen Fig. 2D dargestelit 
5 Das unter Bezugnahme auf die Fig. 2A bis 2D be- 
schriebene praktische Beispiel bezog sich auf das Lo- 
schen des Flash-EPROM. Entsprechende Vorgange 
sollten in entsprechender Weise bei jeglichen Aktionen 
stattfinden, die eine Speicherinhaltsveranderung des 
10 Flash-EPROM bezwecken, also auch beim uberschrei- 
ben, Umprogrammieren etc 

Auf die beschriebene Weise kann zuverlassig sicher- 
gestelit werden, daB ein Loschen und/oder Uberschrei- 
ben des Flash-EPROM nur dann durchgefuhn wird, 
15 wenn es bestimmungsgemaB veranlaBt wurde. 
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Patentanspruche 

1. Verfahren zum Betreiben eines Steuergerates 
(10) mit einer uber eine Programmiervorrichtimg 
(20) programmierbaren Speichereinrichtung (14), 
wobei das Loschen und das uberschreiben des In- 
halts der Speichereinrichtung jeweils unter Ausfuh- 
nmg eines Datenverarbeitungsprogrammabscrf 
tes und unter Verwendung von Daten durchgefuhn 
wird, dadurch gekennzeichnet, daB wenigstens 
entweder der Datenveraxbeitungsprogrammab- 
schnitt oder die Daten derart bereitgestelh werden, 
daB sie vor deren Verwendbarkeit zur Herbeifuh- 
ning eines Loschens oder eines uberschreibens ei- 
ner Modifikation bedurfen, und daB diese Modifi- 
kation erst durchgefuhrt wird, wenn festgestellt 
wird, daB ein Einspi-ung in den Datenverarbei- 
tungsprogrammabschnitt bestimmungsgemaB er- 
folgt ist oder erfolgen wird oder enolgen kann. 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB der jeweils bereitgestellte Datenver- 
arbeitungsprogrammabschnitt vor dessen Modifi- 
kation deran codien ist, daB er zumindest teilweise 
nicht oder nicht ordnungsgemaB ausfuhrbar ist 

3. Verfahren nach Anspruch 1 oder 2, dadurch ge- 
kennzeichnet, daB die besagten Daten durch den 
jeweiligen Datenverarbeitungsprogrammabschnitt 
verwendet werden, um zum Losen der Verrie/e- 
lung der Speichereinrichtung (14) gegen ein<^ ■ 
schen oder uberschreiben des Inhalts der Speicher- 
einrichtung dienende Entriegelungszykien zu gene- 
rieren, wozu bestimmte Daten an bestimmte 
Adressen der Speichereinrichtung ausgegeben 
werden. 

4. Verfahren nach Anspruch 3, dadurch gekenn- 
zeichnet, daB die bereitgestelhen Daten vor deren 
Modifikation deranige Wene aufweisen, daB der 
Datenverarbeitungsprogrammabschnitt nicht in 
der Lage ist, hieraus zur Entriegelung der Speicher- 
einrichtung (14) geeignete Entriegelungszykien zu 
generieren. 

5. Verfahren nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, daB auf einen be- 
stimmungsgemaBen Einsprung in den Datenverar- 
beitungsprogranunabschnitt geschlossen 
wenn ermittelt wird, daB Umstande vorliegen, die 
ein bewuBtes und gewoUtes Ldschen oder uber- 
schreiben des Inhalts der Speichereinrichtung (14) 

. wahrscheinlich erscheinen lassen. 

6. Verfahren nach Anspruch 5, dadurch gekenn- 
zeichnet, daB auf einen bestimmungsgemaBen Ein- 
sprung in den Datsnverarbeitungsprograiriinar>- 
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schnitt geschlossen wird, wenn ermittelt wird, daB 
ein externes Programmiergerat (20) am Steuerge- 
rat(lO) angeschlossen ist. 

7. Verfahren nach Anspnich 5 oder 6, dadurch ge- 
kennzeichnet, daB auf einen bestimmungsgemaBen 5 
Einsprung in den Datenverarbeitungsprogramm- 
abschnitt geschlossen wird, wenn ermittelt wird, 
daB ein an das Steuergerat (10) angeschlossenes 
externes Programmiergerat (20) aktivien ist 

8. Verfahren nach einem der vorhergehenden An- 10 
spruche, dadurch gekennzeichnet, daB der Daten- 
verarbeitungsprogrammabschnitt oder die Daten 
nach einem erfolgien Loschen oder Uberschreiben 
des Inhalts der Speichereinrichtung (14) und gege- 
benenfalls auch nach einem Einschalten oder Ruck- 15 
setzen des Steuergeraies (10) einer derartigen Be- 
handlung unterworfen werden, daB sie ohne erneu- 

te Modifikation beim nachsten Einsprung in den 
Datenverarbeitungsprogrammabschnitt wieder 
deran bereitgestellt werden, daB sie nicht zur Her- 20 
beifuhnmg eines Loschens oder eines Uberschrei- 
bens der Speichereinrichtung geeignet sind. 
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